【禁聞】強徵網絡「零日漏洞」 中共新法用意何在

2021年09月10日中國禁聞新聞
【新唐人北京時間2021年09月10日訊】今年3月微軟「零日漏洞」遭到黑客攻擊,英美歐盟聯手指控,中共國安部門聯手駭客入侵各國政府以及企業。9月開始,中共施行的《數據安全法規》,強制在華外國公司在發現自身網絡安全漏洞時立刻向北京匯報。外界擔心,這項規定讓中共黑客化暗為明,名正言順的掌握「零日漏洞」信息並以此發動網絡襲擊。
今年9月1日生效的《數據安全法》,不僅要求中國所有公司將其處理的數據改存放到官方搭建的「國資雲」平台,還強制在華外國公司在發現自身網絡安全漏洞時立刻向北京匯報。
同時,中共工業和信息化部、國家互聯網信息辦公室、公安部出台了相應的《網絡產品安全漏洞管理規定》,要求「網絡產品提供者」必須在兩天內向工信部網絡安全威脅和漏洞信息共享平台報送相關漏洞信息,並不得將未公開的網絡產品安全漏洞信息,向網絡產品提供者之外的境外組織或者個人提供。
「零日漏洞」再次被關注。
原中國大陸互聯網企業技術總監王東林:「因為有些漏洞被發現了之後,它是可以被用來牟利的,在國內它叫做這個黑產,黑色產業。那麼隨著這種產業不斷的發展,就是人們能夠利用它來牟利的話,那麼就是越來越多的漏洞被發現了之後,相當於就不會被公開。這種已經存在的漏洞,但是沒有被公佈出來的,那就被稱作零日漏洞。」
網路自由觀察人士古河:「對於這類的漏洞最感興趣的是各個國家分布的那些黑客,那些黑客只要找到零日漏洞不會立刻公佈,他會把它作為一種祕密信息記錄下來,什麼時候需要的時候他可以利用它,利用它來牟利。中共要它幹什麼?就是竊取祕密。」
中共強徵網絡「零日漏洞」信息,讓外界擔憂。
古河:「像這種零日漏洞在其它國家裡,它並不是由國家來管理的,它是由各個企業來管理,國家怎麼來干涉企業的自由呢?它只不過利用法律的程序,把這種邪惡給固定下來了,成為名正言順的去收集不僅僅是公民,現在是針對所有網站企業他們的隱私祕密。」
原中國大陸互聯網企業技術總監王東林表示,如果中國黑客輕易獲取發動「零日襲擊」的網絡資源,可能對外國目標發動攻擊。對個人在說,可能被竊取個人信息作為大數據分析的來源。
王東林:「如果說有些這種零日的漏洞被中共政府所掌握,那網絡上的這種大量的這種雲主機,那確實是非常最有可能是第一波被攻擊的對象。智能手機大量普及的情況下,一旦出現這種被發現零日漏洞的話,那對每個人也都可能會造成非常大的這種影響。」
由於修補技術漏洞的所需時間較長,分析認為,中共所謂的「二日匯報」機制,可能給北京足夠的時間,讓黑客製造出可用於襲擊外國目標的零日進攻武器。
台北大學犯罪學研究所助理教授沈伯洋:「中共公安部他們也有自己的黑客,那如果說他今天知道哪裡有漏洞,他可以去利用這個漏洞,這是非常有可能的。但是因為一般的政府,他不會要求企業去匯報漏洞,除非今天企業提供的服務的對象就是政府。那如果他今天服務的對像不是政府,他又要你提供漏洞,那他當然可能藉由這個漏洞去攻擊。」
中共最新的《數據安全法》和《個人信息保護法》,未來網絡伺服器該設在哪裡,恐怕也不是企業自己能決定的事了。新法規更讓中共提前掌握外國消費者和軍政部門使用的軟件的「零日漏洞」信息。
沈伯洋:「其實只要是他們對在那邊有設分公司的公司要資料,基本上比較沒有什麼不給的空間。所以說從我的觀點來講,我會覺得說就即使他沒有這樣的法案也沒有這樣的要求,他們平常就有可能在做這樣的事情,那只是說他們現在是公開的來做。」
台北大學犯罪學研究所助理教授沈伯洋認為,網絡攻擊事件不斷傳出,就算安全做得再好,還是會遇到問題,民眾必須養成良好習慣以求自保。
採訪/駱亞 編輯/黃億美 後製/周天